Mmmm la règle à suivre est plus générale est plus simple.
Il ne faut faire confiance à aucune donnée venant du client. Ne pas faire confiance ça veut dire ne pas préjuger de leur valeur, toujours vérifier qu'elle rentre bien dans les critères attendus (caster en int quand c'est un entier, faire un htmlentities quand c'est du texte sans code html, nettoyer les balises sensibles (script, object, embed, iframe...) quand on veut quand même du html, etc).
Pour info, les données clients sont tous ce qu'on trouve dans les variables $_GET (url), $_POST (résultat de formulaire), $_FILES (fichiers uploadés) et $_COOKIES (les cookiers).
Donc ne jamais utiliser ces variables directement toujours formatter/vérifier les données avant (cf plus haut).
Et au passage, si on a la main sur la conf php, désactiver toutes les directives permettant d'éviter les vérifications (genre register globals) mais ça a sûrement déjà été dit.
Par contre un truc souvent oublié dans les confs, les erreurs NOTICE sont masquées par défaut, c'est une erreur (si je puis dire ), il faut afficher toutes les erreurs. Les notices révèlent dans la plus par du temps des bugs et des failles de sécurité, ce serait dommage de s'en passer. (par contre il faut masquer les erreurs sur le site en production, ça évite des problèmes et c'est plus propre :) ).